Gestione privilegi set di regole

In questa sezione:

Applicazioni

Per disattivare un elemento, evidenziarlo, fare clic con il pulsante destro del mouse e selezionare Modifica stato. Consente di disattivare/attivare l'opzione. Ciò può essere utile per risolvere i problemi associati al Supporto.

  1. Selezionare il nodo Gestione dei privilegi per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Applicazione > File.
    Viene visualizzata la finestra di dialogo Aggiungi un file per la gestione privilegi utente.
  3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
  4. Nella finestra di dialogo Apri, navigare nel file che si desidera aggiungere e fare clic su OK.

    5. Se richiesto, è possibile selezionare i seguenti elementi:

      • Sostituire le variabili di ambiente laddove possibile
      • Usa espressione regolare
      • Rendere il file un elemento consentito. Se selezionato, è possibile selezionare anche di consentire l'esecuzione del file anche se non appartiene a un proprietario attendibile.
  5. Inserire gli argomenti opzionali della riga di comando nella casella di testo Argomenti. Inserire tutti gli argomenti mano a mano che appaiono in Process Explorer.
  6. Gli argomenti della riga di comando estendono i criteri di corrispondenza oltre quanto viene immesso nel campo File. Se viene aggiunto un argomento, sia il file sia l'argomento devono essere soddisfatti per ottenere una corrispondenza. È possibile aggiungere qualsiasi argomento che appare sulla riga di comando per un processo, come contrassegni, interruttori, file e Guid.

File negato

File consentito

Risultato

shutdown.exe

shutdown.exe

Argomenti: -r -t 30

shutdown.exe viene eseguito solo quando -r -t 30 si trova sulla riga di comando - qualsiasi altra esecuzione di shutdown.exe viene negata.

Per configurare correttamente gli argomenti di un elemento consentito o negato, essi devono apparire così come appaiono in Process Explorer, ad esempio:

File: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Riga di comando: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Deve essere configurato come:

File: percorso assoluto o relativo di winword.exe

Argomenti: /n C:\example.docx

  1. Per applicare un criterio, selezionarlo dall'elenco a discesa nella sezione Criteri.
  2. È possibile selezionare le seguenti opzioni per il criterio:
    • Applica a processi figlio
    • Applica a finestre di dialogo comuni
    • Installare come proprietario attendibile
  3. Se richiesto, inserire una descrizione opzionale del file per il proprio riferimento futuro.
  4. Per aggiungere metadati al file, selezionare la scheda Metadati:
  5. Per compilare automaticamente i campi, selezionare Popola metadati dal file.

    6. È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.

    È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.

    Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.

    Per ulteriori informazioni, vedere Opzioni di verifica.

  6. Fare clic su Aggiungi per aggiungere il file al set di regole.
    L'elemento file viene aggiunto alla vista Applicazioni sull'area di lavoro Gestione privilegi.
  1. Selezionare il nodo Gestione dei privilegi per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Applicazione > Cartella.
    Viene visualizzata la finestra di dialogo Aggiungi una cartella per la gestione privilegi utente.
  3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
  4. Nella finestra di dialogo Apri, navigare nella cartella che si desidera aggiungere e fare clic su OK.

    5. Se richiesto, è possibile selezionare i seguenti elementi:

    • Sostituire le variabili di ambiente laddove possibile
    • Includi cartelle secondarie
    • Usa espressione regolare
    • Rendi cartella un elemento consentito. Se selezionato, è possibile selezionare anche di consentire l'esecuzione del file anche se non è posseduto da un proprietario attendibile.
  5. Per applicare un criterio, selezionarlo dall'elenco a discesa nella sezione Criteri.
  6. È possibile selezionare le seguenti opzioni per il criterio:
    • Applica a processi figlio
    • Applica a finestre di dialogo comuni
    • Installare come proprietario attendibile
  7. Se richiesto, inserire una descrizione opzionale della cartella per il proprio riferimento futuro.
  8. Per aggiungere metadati alla cartella, selezionare la scheda Metadati:
  9. Per compilare automaticamente i campi, selezionare Popola metadati dal file.

    10. È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.

    È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.

    Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.

    Per ulteriori informazioni, vedere Opzioni di verifica.

  10. Fare clic su Aggiungi per aggiungere la cartella al set di regole.
    L'elemento cartella viene aggiunto alla vista Applicazione sull'area di lavoro Gestione privilegi.

Consente di specificare un nuovo hash file a cui verrà applicato il criterio selezionato. Per informazioni dettagliate sull'aggiunta di un hash file.

  1. Selezionare il nodo Gestione dei privilegi per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Applicazione > Hash file.
    Viene visualizzata la finestra di dialogo Aggiungi un hash file per la gestione privilegi utente.
  3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
  4. Nella finestra di dialogo Apri, navigare nell'hash file che si desidera aggiungere e fare clic su OK.
    • Rendere l'hash file un elemento consentito. Selezionare per aggiungere il file hash all'elenco Elementi consentiti.
  5. Inserire gli argomenti opzionali della riga di comando nella casella di testo Argomenti. Inserire tutti gli argomenti mano a mano che appaiono in Process Explorer.
  6. Gli argomenti della riga di comando estendono i criteri di corrispondenza oltre quanto viene immesso nel campo File. Se viene aggiunto un argomento, sia il file sia l'argomento devono essere soddisfatti per ottenere una corrispondenza. È possibile aggiungere qualsiasi argomento che appare sulla riga di comando per un processo, come contrassegni, interruttori, file e Guid.
  7. Per applicare un criterio, selezionarlo dall'elenco a discesa nella sezione Criteri.
  8. È possibile selezionare le seguenti opzioni per il criterio:
    • Applica a processi figlio
    • Applica a finestre di dialogo comuni
    • Installare come proprietario attendibile
  9. Se richiesto, inserire una descrizione opzionale dell'hash del file per il proprio riferimento futuro.
  10. Viene visualizzato il valore hash del file, selezionare Ripeti analisi per aggiornare l'hash del file.
  11. Fare clic su Aggiungi per aggiungere l'hash file al set di regole.
    L'elemento hash file viene aggiunto alla vista Applicazione sull'area di lavoro Gestione privilegi.
  1. Selezionare il nodo Gestione dei privilegi per un set di regole.
  2. Fare clic con il pulsante destro del mouse e selezionare Applicazione > Raccolta regole.
    Viene visualizzata la finestra di dialogo Selezione raccolta regole.
  3. Selezionare la casella di controllo Aggiungi alla regola per le raccolte da aggiungere al set di regole.
  4. Una volta selezionata una raccolta è possibile specificare le seguenti impostazioni:
    • Rendi consentito - selezionare per rendere la raccolta regole un elemento consentito.
    • Consenti proprietario non attendibile - se viene selezionato Rendi consentito, è possibile selezionare di consentire l'esecuzione dei file anche se non appartengono a un proprietario attendibile.
    • Applica a processi figlio - Selezionare per applicare le impostazioni a tutti i processi figlio.
    • Applica a finestre di dialogo comuni - Selezionare per applicare le impostazioni alle finestre di dialogo comuni.
    • Installa come Proprietario attendibile - Selezionare per installare come Proprietario attendibile.
  5. Fare clic su OK per aggiungere le raccolte alla vista Applicazioni nell'area di lavoro Gestione privilegi.

Componenti

Aggiungi componente Visualizza la finestra di dialogo Seleziona componenti.

Filtrare la vista per sistema operativo supportato e selezionare il nome del pannello di controllo e dello snap-in di gestione nei componenti che si desidera aggiungere alla regola.

Elevazione automatica

Abilita elevazione automatica - Selezionare per abilitare l'elevazione automatica e applicare l'impostazione richiesta:

  • Applicare l'elevazione automatica solo agli elementi nell'elenco in basso
  • Applicare l'elevazione automatica a tutti gli elementi tranne quelli contenuti nell'elenco in basso

Opzioni - Visualizza la finestra di dialogo Opzioni di elevazione automatica.

Opzioni di elevazione automatica

Opzione Descrizione
Rendi elementi consentiti Rendere gli elementi della regola consentiti e sovrascrivere qualsiasi elemento consentito associato.
Consentire agli elementi di essere eseguiti anche se non appartengono a un proprietario attendibile

  • Questa opzione è disponibili quando viene selezionato Rendi elementi consentiti. Se selezionato, tutti gli elementi della regola elencati vengono eseguiti indipendentemente dal proprietario.

    		•
    Applica a processi figlio Per impostazione predefinita, il criterio di Elevazione automatica applicato agli elementi delle regole non viene ereditato dai processi figlio. Selezionare questa opzione per applicare il criterio ai figli diretti del processo padre.
    Applica a finestre di dialogo comuni Elevare l'accesso alle opzioni di menu di Windows Apri file e Salva file quando un file o una cartella sono stati elevati. Per impostazione predefinita, qualsiasi finestra di dialogo comune non viene elevata.
    Installa come proprietario attendibile Rendere l'amministratore locale il proprietario di tutti i file creati dall'applicazione definita. Questa opzione non si applica alle applicazioni regolari, solo ai pacchetti del programma di installazione.
    Nascondere le opzioni di Windows 'Esegui come amministratore' per gli elementi di elevazione automatica Nascondere l'opzione Esegui come amministratore dal menu di scelta rapida di Windows.
    1. Selezionare il nodo Gestione dei privilegi per un set di regole.
    2. Fare clic con il pulsante destro del mouse e selezionare Elevazione automatica > File.
      Viene visualizzata la finestra di dialogo Aggiungi un file per l'elevazione automatica.
    3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
    4. Nella finestra di dialogo Apri, navigare nel file che si desidera aggiungere e fare clic su OK.

      5. Se richiesto, è possibile selezionare i seguenti elementi:

      • Sostituire le variabili di ambiente laddove possibile
      • Usa espressione regolare
    5. Se richiesto, inserire una descrizione opzionale della cartella per il proprio riferimento futuro.
    6. Selezionare la scheda Metadati.
    7. Per compilare automaticamente i campi, selezionare Popola metadati dal file.

      8. È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.

      È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.

      Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.

      Per ulteriori informazioni, vedere Opzioni di verifica.

    8. Fare clic su Aggiungi per aggiungere il file al set di regole.
      L'elemento file viene aggiunto alla vista Elevazione automatica sull'area di lavoro Gestione privilegi.
    1. Selezionare il nodo Gestione dei privilegi per un set di regole.
    2. Fare clic con il pulsante destro del mouse e selezionare Elevazione automatica > Cartella.
      Viene visualizzata la finestra di dialogo Aggiungi una cartella per l'elevazione automatica.
    3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
    4. Nella finestra di dialogo Apri, navigare nella cartella che si desidera aggiungere e fare clic su OK.

      5. Se richiesto, è possibile selezionare i seguenti elementi:

      • Sostituire le variabili di ambiente laddove possibile
      • Usa espressione regolare
      • Includi cartelle secondarie
    5. Se richiesto, inserire una descrizione opzionale della cartella per il proprio riferimento futuro.
    6. Selezionare la scheda Metadati.
    7. Per compilare automaticamente i campi, selezionare Popola metadati dal file.

      8. È possibile popolare i campi seguenti: Nome prodotto, Fornitore, Nome società, Descrizione file, Versione file e Versione prodotto.

      È possibile raffinare una parte qualsiasi dei dati; selezionare la casella di controllo richiesta e modificare i campi.

      Se i metadati Fornitore sono abilitati, diventa disponibile un'ulteriore opzione - Verifica certificato al runtime. Quando questa opzione viene abilitata, l'agente verifica il certificato sempre che corrisponda al file. Fare clic su Verifica opzioni per accedere a un ulteriore set di criteri, utilizzati durante la corrispondenza file.

      Per ulteriori informazioni, vedere Opzioni di verifica.

    8. Fare clic su Aggiungi per aggiungere la cartella al set di regole.
      L'elemento cartella viene aggiunto alla vista Elevazione automatica sull'area di lavoro Gestione privilegi.
    1. Selezionare il nodo Gestione dei privilegi per un set di regole.
    2. Fare clic con il pulsante destro del mouse e selezionare Elevazione automatica > Hash file.
      Viene visualizzata la finestra di dialogo Aggiungi un hash file per l'Elevazione automatica.
    3. Nella scheda Proprietà, fare clic sui puntini di sospensione (...) nella casella di testo:
    4. Nella finestra di dialogo Apri, navigare nell'hash file che si desidera aggiungere e fare clic su OK.
    5. Se richiesto, inserire una descrizione opzionale dell'hash del file per il proprio riferimento futuro.
    6. Viene visualizzato il valore hash del file, selezionare Ripeti analisi per aggiornare l'hash del file.
    7. Fare clic su Aggiungi per aggiungere l'hash file al set di regole.
      L'elemento hash file viene aggiunto alla vista Elevazione automatica sull'area di lavoro Gestione privilegi.
    1. Selezionare il nodo Gestione dei privilegi per un set di regole.
    2. Fare clic con il pulsante destro del mouse e selezionare Elevazione automatica > Raccolta regole.
      Viene visualizzata la finestra di dialogo Selezione raccolta regole. Vengono elencate tutte le raccolte di regole per la gestione dei privilegi.
    3. Selezionare la casella di controllo Aggiungi alla regola per le raccolte da aggiungere al set di regole.
    4. Fare clic su OK per aggiungere le raccolte alla vista Applicazioni nell'area di lavoro Gestione privilegi.

    Controlli di sistema

    Utilizzare i Controlli di sistema per controllare la capacità di eseguire una qualsiasi delle seguenti azioni. È possibile applicare dei controlli per elevare o limitare l'accesso all'elemento specificato.

    • Elemento di controllo disinstallazione: utilizzare questa opzione per consentire o limitare alle applicazioni installate la possibilità di essere disinstallate quando le condizioni delle regole vengono rispettate. Gli elementi di controllo disinstallazione sono configurati definendo quali applicazioni vengono controllate. È possibile applicare un'ulteriore convalida per coinvolgere una data entità di pubblicazione e versioni specifiche dell'applicazione. Per consentire o limitare tutte le applicazioni da un'entità di pubblicazione, inserire un * nel campo Applicazioni unito al nome dell'entità di pubblicazione.
    • Elemento di controllo di servizio: utilizzare questa opzione per selezionare quali servizi è possibile modificare, arrestare, avviare e riavviare quando le Condizioni regola sono state rispettate.

      • Il Servizio agenti è l'unico servizio che non può essere riavviato dopo essere stato arrestato.

      Gli elementi di controllo del servizio vengono configurati specificando il nome visualizzato e/o il nome interno. Il nome visualizzato del servizio può differire tra più Sistemi operativi localizzati, mentre il nome interno rimarrà invariato. Pertanto, se questa configurazione verrà utilizzata tra più impostazioni locali, si consiglia di utilizzare solo il nome interno.

    • Elemento di controllo del registro eventi: utilizzare questa opzione per selezionare quali registri di eventi sia possibile cancellare o meno una volta che le Condizioni regola vengono rispettate. Gli elementi di controllo del registro eventi vengono configurati selezionando il nome del registro o dei registri da controllare.
    • Elemento di controllo terminazione processo: utilizzare questa opzione per proteggere i processi, come un software antivirus, dalla terminazione da parte di tuti gli utenti, inclusi gli amministratori. Gli utenti possono ancora arrestare i processi in modo non grave, ad esempio facendo clic su chiudi nell'interfaccia utente di un'applicazione, ma non possono terminare forzatamente un processo, ad esempio terminando un'attività dalla scheda Dettagli in Gestione attività. Può essere specificato un singolo file, oppure ci si può rivolgere a tutti i processi in una determinata cartella.

      • In via opzionale, aggiungere Metadati per includere criteri aggiuntivi per far corrispondere file e cartelle.

    Argomenti correlati

    Gestione dei privilegi

    Gestione privilegi impostazioni di configurazione